本申请供了一种验证安全策略的方法和装置,其中的方法可用于测试装置,所述测试装置用于验证被测设备上的多条安全策略;该方法可包括以下步骤:以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。这样便可实现安全策略的自动验证,通过自动化的处理过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。
【技术实现步骤摘要】
一种验证安全策略的方法和装置
本申请涉及网络通信和软件测试
,特别涉及一种验证安全策略的方法和装置。
技术介绍
一些设备上,例如防火墙等安全设备,会配置安全策略,为了验证安全策略是否生效,需要对这些安全策略进行测试。以安全设备为例,安全设备中往往存在大量且相似的安全策略,用于对这些安全策略进行测试的测试用例在安全设备的每一个软件版本中都不可或缺。现有技术中,可以使用人工测试的方式对这些安全策略进行测试。然而,这类测试具有一定的机械性、重复性,工作量大,存在着很难进行长时间的可靠性测试、很难在短时间内实现大量测试等问题,由于被测设备上配置的安全策略较多,导致设备处理翻页查询回显较慢,同时逐条策略去查看测试结果也导致任务量大且很容易出错,完整性也无法保证,这些都严重影响到测试的执行效率和准确性。
技术实现思路
有鉴于此,本申请提供一种验证安全策略的方法和装置,以提高验证安全策略时的测试效率及准确性。具体地,本申请是通过如下技术方案实现的:一种验证安全策略的方法,所述方法用于测试装置,所述测试装置用于验证被测设备上的多条安全策略;所述方法包括:以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。一种验证安全策略的装置,所述装置用于验证被测设备上的多条安全策略;所述装置包括:发包及收包单元,用于以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;测试单元,用于获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。由以上本申请提供的技术方案可见,被测设备上配置有多条安全策略,测试装置以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应,然后获取每条安全策略的匹配结果,最后根据所述匹配结果确定所述多条安全策略的验证结果。这样便可实现安全策略的自动验证,通过自动化的过程可以更快的检验安全策略是否生效,提高了整体验证效率与准确性,使软件的回归测试更加方便,解决了人工测试时对比量大、容易出错等问题。附图说明图1为本申请示出的一种验证安全策略的方法的流程图;图2为本申请示出的一种验证安全策略的方法的细化流程图;图3为本申请示出的一种验证安全策略的方法的细化流程图;图4为本申请示出的一种验证安全策略的方法的细化流程图;图5为本申请示出的一种场景下的自动测试框架示意图;图6为本申请示出的读取安全策略匹配计数时的流程图;图7为本申请示出的一种验证安全策略的装置的示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。请参见图1,图1为本申请示出的一种验证安全策略的方法的流程图。该方法可用于测试装置(或者说是测试系统)。所述测试装置可用于验证被测设备上的多条安全策略。作为示例,所述测试装置可以包括发包及收包单元、测试单元,所述被测设备可以为安全设备,例如防火墙等。如图1所示,所述方法可以包括:步骤S101,以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应。例如,被测设备上可以配置10000条安全策略,相应的用于测试的数据流也是10000条。对于安全策略的具体形式及内容,本实施例并不进行限制,本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本专利技术的精神和保护范围。作为示例,安全策略可以是防火墙等安全设备对以太网数据包的放通或者阻断策略,例如一条安全策略为“源IP是1.1.1.1,目的IP是2.2.2.2,协议是UDP,源端口是0-65535,目的端口是21的数据包需要丢弃”。步骤S102,获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果。被测设备接收到一条数据流后,会将其与所述多条安全策略逐条进行匹配,当该数据流被一条安全策略匹配上时,匹配过程就结束,不再与后面的安全策略匹配。当被测设备的整个匹配过程结束后,测试装置可从被测设备上读取匹配结果。作为示例,在本实施例或本专利技术其他某些实施例中,获取每条安全策略的匹配结果,具体可以包括:从第一条安全策略的匹配结果开始,依次读取每条安全策略的匹配结果;每次读取时等待预设时长,若超出所述预设时长未返回匹配结果,则触发预设操作。作为示例,预设操作可以是停止并返回错误提示等,对此本专利技术实施例并不进行限制,对于预设操作本领域技术人员可以根据不同需求\不同场景而自行选择、设计,可以在此处使用的这些选择和设计都没有背离本专利技术的精神和保护范围。当然在本专利技术其他某些实施例中,也可以边匹配边读取匹配结果,对此本专利技术实施例也并不进行限制。步骤S103,根据所述匹配结果确定所述多条安全策略的验证结果。因为用于测试的多条数据流被设计为与所述多条安全策略一一对应,所以理想情况下每条安全策略都应该被匹配上一次,即每条安全策略都应该会生效,也即如果安全策略是生效的,那么匹配结果就会跟预期(或者说是预设)的一样。而如果安全策略不生效,则匹配结果会出错,代表查出了问题。故可以根据匹配结果确定所述多条安全策略的验证结果。在测试之前,可以先对安全策略进行配置。在本实施例或本专利技术其他某些实施例中,参见图2所示,在向所述被测设备发送多条数据流之前,所述方法还包括以下配置过程:步骤S201,创建多条地址对象。例如,“172.30.21.130/32”就是一个地址对象,当多个地址对象放到一起形成一个集合时,就是地址对象组。步骤S202,创建多条自定义服务对象,其中每条所述自定义服务对象包括协议、目的端口、源端口。例如,“协议TCP+端口21和端口20”就是一个自定义服务对象,这里就代表FTP服务。同理,多个自定义服务对象放到一本文档来自技高网...
【技术保护点】
1.一种验证安全策略的方法,其特征在于,所述方法用于测试装置,所述测试装置用于验证被测设备上的多条安全策略;所述方法包括:以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。
【技术特征摘要】
1.一种验证安全策略的方法,其特征在于,所述方法用于测试装置,所述测试装置用于验证被测设备上的多条安全策略;所述方法包括:以每次发送一条数据流的方式向所述被测设备发送多条数据流,其中所述多条数据流与所述多条安全策略一一对应;获取每条安全策略的匹配结果,其中所述匹配结果是所述被测设备收到每条数据流后将所收到的数据流与所述多条安全策略逐条匹配后记录的匹配结果;根据所述匹配结果确定所述多条安全策略的验证结果。2.根据权利要求1所述的方法,其特征在于,在向所述被测设备发送多条数据流之前,所述方法还包括:创建多条地址对象;创建多条自定义服务对象,其中每条所述自定义服务对象包括协议、目的端口、源端口;根据所述多条地址对象和所述多条自定义服务对象生成所述多条安全策略,其中每条所述安全策略包括:源地址,目的地址,协议,目的端口,源端口,操作。3.根据权利要求2所述的方法,其特征在于,向所述被测设备发送多条数据流,包括:创建与每条安全策略对应的数据包,其中每个所述数据包包括源地址,目的地址,协议,源端口,目的端口;每次将与一条安全策略对应的数据包发送给所述被测设备,以及,接收所述被测设备转发的所述数据包,以形成通过所述被测设备的一条数据流。4.根据权利要求3所述的方法,其特征在于,一条所述数据流中包括一个数据包或者多个相同的数据包。5.根据权利要求1所述的方法,其特征在于,获取每条安全策略的匹配结果,包括:从第一条安全策略的匹配结果开始,依次读取每条安全策略的匹配结果;每次读取时等待预设时长,若超出所述预设时长未返回匹配结果,则触发预设操作。6.根据权利要求1所述的方法,其特征在于,根据所述匹配结果确定所述多条安全策略的验证结果,包括:将每条安全策略的匹配结果与对应的预设值比较;根据比较结果确定所述验证结果。7.根据权利要求1~6任一项所述的方法,其特征在于,所述被测设备包括:防火墙。8.一种验...
【专利技术属性】
技术研发人员:袁福鸿,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。